多年过去，网络威胁情报计划仍步履蹒跚

五年前问及CISO对其网络威胁情报（CTI）计划的态度，收到的回复俨然南北两极。资源充足的大型企业纷纷投资其威胁情报计划，想要将之更好地应用于战术、运营和战略目的。资源受限的中小企业则常常是认识到了威胁情报的价值，却没有人手、技能或预算投入其中。对这些企业来说，威胁情报计划只不过是用防火墙、端点安全软件、电子邮件网关或Web代理来阻止入侵指标（IoC）而已。

时间快进到2023年，几乎每家受访企业都在消费威胁情报馈送，实现各种工具，构建威胁情报计划。企业战略集团（ESG）最近发布的调研报告表明，95%的企业组织（员工人数超过1000名）设置有威胁情报预算，98%计划在未来12到18个月里增加威胁情报开支。

为什么CISO难以推进网络威胁情报

没错，CISO欢迎CTI，积极学习，试图使用CTI来改善安全防御。这看起来似乎有所进展，但这些投资真的能转化成CTI计划的改善吗？未必。尽管预算增长、战略主动，很多CTI计划仍然举步维艰。ESG的研究表明：

• 85%的安全专业人员认为其CTI计划需要过多手动流程。这种手动操作包括将威胁指标剪切粘贴到工具中、关联不同来源的威胁情报，以及创建威胁情报报告。与在其他任何领域的情况一样，手动流程无法扩展，因而跟不上当今威胁形式的步伐。

• 82%的安全专业人员认同CTI计划常被当成学术活动。这种认知在安全专业人员当中十分普遍，是个常见问题。如果没收到恰当的指示或管理监督，威胁情报分析师就会去做自己想做的事：威胁情报研究。这或许会带来攻击团伙或其用来攻击的战术、技术与程序（TTP）方面的突破性见解，但仍与企业的情报需求无关。这种不匹配远比大多数人认为的要普遍得多。

• 72%的安全专业人员认为很难梳理CTI噪声并找到与自家企业相关的内容。CTI资源并不缺：开源、行业信息共享与分析中心（ISAC）、商业订阅源、社区团体等等。在这么多资源里大海捞针就不容易了。一些企业根本就不知道该寻找什么，另一些则陷入了“越多越好”的CTI思维，被巨大的信息量压垮。无论哪种情况，他们都把时间浪费在了误报和漏报上。

• 71%的安全专业人员表示自家企业很难衡量在CTI计划上的投资回报率（ROI）。考虑到很多企业不是不知道该找什么，就是被大量CTI淹没，或者将威胁情报计划当成研究生院，出现这种情况一点儿也不令人意外。受困于一个或多个此类问题的CISO就很难衡量CTI投资带来的好处了。

• 63%的安全专业人员表示，自家企业没有合适的人手或技能来管理恰当的CTI计划。令人生厌的全球网络安全人才短缺问题可谓老生常谈，但这不仅仅是工作太多而人手不足的问题。威胁情报分析需要培训、经验，以及问题解决和良好沟通等个人特质。研究揭示，即使是资金充足的大公司也缺乏合适的技能或人手来保障情报需求。

CISO该如何克服这些问题？拥有成熟CTI计划的企业是如何做的我们容后再谈，我们先要搞清楚：CTI不等于CTI计划。

想要获得成功，CTI计划必须首先确立明确的目标（也就是战术、运营和战略目标）、强有力的管理、可实现的工作量，以及支持持续改进的反馈循环。此外，CISO必须对自身能力有清醒的认识。如果自己构建CTI计划（满足短期和长期情报需求）不可行，CISO就必须向外寻求服务提供商的帮助，明确自身需求，然后将服务提供商的输出集成到安全、IT和业务流程中。